信息安全管理测评研究

第页共页信息平安管理测评研究信息平安管理测评研究【摘要】：^p：信息平安管理测评是信息平安管理的一局部，作为衡量信息平安管理状态及其绩效的信息平安管理测评方法学的研究已成为迫切需要解决的重要课题，其对组织信息平安保障体系的建立、管理和改良具有重要意义。【关键词】：^p：信息平安管理；测评；要素；指标中图分类号：TP393文献标识码：A文章编号：1009-3044〔2023〕27-6080-03人类进入信息化社会，社会开展对信息化的依赖程度越来越大，一方面信息化成果已成为社会的重要资，在政治、经济、国防、教育、科技、生活等发面发挥着重要的作用，另一方面由于信息技术的迅猛开展而带来的信息平安事件、事故层出不穷，信息平安问题与矛盾日益突出。信息平安工程是一个多层面、多因素的、综合的、动态的系统工程，其包括关键根底设施及硬件平安、运行平安、软件平安、通信平安、人员平安、传输平安、网络平安、人员平安等。组织要实现信息平安目的，就必须建立一套行之有效信息平安管理与技术有机结合的平安防范体系。信息平安管理包括制定信息平安策略〔包括方案、程序、流程与记录等〕、风险评估、控制目的的选择、控制措施的施行以及信息平安管理测评等。管理大师德鲁克曾经说过“无法度量就无法管理”[1]，强调了测量对组织管理的重要意义，信息平安管理同样也离不开测评。如何对信息平安管理有效性等进展测量，根据测量的结果对组织信息平安管理情况进展评价并进一步指导信息平安管理，进步信息平安管理才能和程度，目前已经成为信息平安领域的一个研究热点[2]。信息平安管理测评是组织围绕信息化持续开展与信息平安保障的现状和将来综合才能的反映，不仅是对过去和如今的才能展现，而且为将来开展提供保障和动力。在我国，目前关于信息平安管理测评研究刚处于起步阶段，还没有一套可供使用的信息平安测评体系标准、方法等。因此，开展信息平安管理测评研究，对组织信息化建立既具有重要的现实意义也具有长远的持续开展意义。1信息平安管理测评开展综述与需求关于信息平安测评，美国早在2023年通过的《联邦信息平安管理法案》中就要求各机构每年必须对其信息平安理论进展独立测评，以确认其有效性。这种测评主要包括对管理、运行和技术三要素的控制和测试，其频率视风险情况而定，但不能少于每年一次。在独立评价的根底上，联邦管理与预算局应向国会上报评价汇总结果；而联邦审计署那么需要周期性地评价并向国会汇报各机构信息平安策略和理论的有效性以及相关要求的执行情况。2023年7月，美国国家标准与技术研究所〔NationalInstituteofStandardsandTechnology，NIST〕发布了NISTSP800-55《信息技术系统平安测量指南》，其包括以下内容[3]：1〕角色和职责：介绍开展和执行信息平安测量的主要任务和职责。2〕信息平安测量背景：介绍测量定义、进展信息平安测量的好处、测量类型、几种可以进展信息平安测量的控制、成功测量的重要因素、测量对管理、报告和决策的作用。3〕测量开展和执行过程：介绍用于信息平安测量开展的方法。4〕测量工程执行：讨论可以影响平安测量工程的技术执行的各种因素。5〕以附件的形式给出的16种测量的模板。2023年11月17日，美国的企业信息平安工作组〔CorporateInformationSecurityWorkingGroup，CISWG〕发布了CISWGCS1/05-0079《带有支撑管理测量的信息平安方案要素》[4]，2023年国际标准化组织〔ISO/IECSC27〕提出了信息平安管理体系〔InformationSecurityManagementSystems，ISMS〕的系列标准——ISO27000系列。2023年1月10日又发布了修订版，并作为针对ISO/IEC2ndWD27004的奉献文档提交给ISO/IECJTC1SC27，该文档是根据CISWG的最正确理论和测量小组的报告改编。2023年8月31日，美国国际系统平安工程协会〔InternationalSystemSecurityEngineeringAssociation，ISSEA〕针对ISO/IEC2ndWD27004向ISO/IECJTC1SC27提交了题为“ISSEAContributionBackground”[5]〔ISSEA测量的奉献背景〕和“ISSEAMetrics”[6]〔ISSEA测量〕两个奉献文档。2023年国际标准化组织〔ISO〕发布了ISO/IEC27004：2023〔信息技术一平安技术一信息平安管理测量〕标准，为如何建立及测量ISMS及其控制措施提供了指导性建议[7]。信息平安管理体系是信息平安保障体系的重要组成局部。近年来，随着组织对信息平安保障工作重视程度的日益增强，不少组织都根据标准GB/T22081-2023建立了一套比拟完善的ISMS来保护组织的重要信息资产，但是体系建立起来了，不少管理者都对ISMS的运行效果极其控制措施的有效性，持疑心的态度。故此组织很有必要建立一套相应的测评方法来全面的对ISMS的运行情况进展科学的评价，进一步提升ISMS的执行力。该文研究的信息平安管理测评将为确定ISMS的实现目的，衡量ISMS执行的效力和效率提供一些思想、方法，其结果具有客观的可比性，还可以作为信息平安风险管理、平安投入优化和平安实现变更的客观根据，有助于降低平安风险，减少平安事件的概率和影响，改良平安控制和管理过程的效率或降低其本钱。2信息平安管理测评研究内容信息平安管理测评是信息平安管理体系的重要局部，是信息平安管理测量与评价的综合。信息平安管理测量的结果是信息平安绩效评价的根据。信息平安管理测量比拟详细，信息平安管理评价那么通过详细来反映宏观。2.1信息平安管理测评要素及其框架信息平安管理测评要素包括：测评实体及其属性、根底测评方式、根底测评变量、导出测评制式、导出测评变量、测评方法、测评基线、测评函数、分析^p模型、指示器、决策准那么、测评需求和可测评概念等，其框架如图3.1信息平安测评框架所示，包括：基于什么样的需求来测评〔即测评需求〕，对什么进展测评〔即实体及其属性〕，用什么指标体系来测评〔包括测评制式、测评变量和测评尺度〕，用什么方法来测评〔即测评方法〕，用什么函数来计算测评结果〔即测评函数〕，用什么模型来分析^p测评结果〔即分析^p模型〕，用什么方式来使分析^p结果可以辅助决策〔即指示器〕等问题。信息需求是测评需求方提出的对测评结果信息的需求。信息需求自于组织的使命和业务目的，与相关利益者的利益诉求亲密相关。指示器的生成和分析^p模型的选择是以信息需求为导向的。决策准那么是一种决定下一步行为的阈值。他有助于解释测评的结果。决策准那么可能出自或基于对预期行为在概念上的理解和判断。决策准那么可以从历史数据、方案和探究中导出，或作为统计控制限度或统计信心限度计算出来。可测评概念是实体属性与信息需求之间的抽象关系，表达将可测评属性关联到信息需求以及如何关联的思想。可测评概念的例子有消费力、质量、风险、绩效、才能、成熟度和客户价值等。实体是能通过测评属性描绘的对象。一个实体是测评其属性的一个对象，例如，过程、产品、系统、工程或资。一个实体可能有一个或多个满足信息需求的属性。理论中，一个实体可被归类于多个上述类别。他可以是有形的也可是无形的。信息平安管理测评的实体包括信息平安管理体系建立过程中所有的控制项〔信息平安管理测评要素〕。属性是实体可测评的、物理的或抽象的性质。一个属性是能被人或自动手段定量或定性区分的一个实体的某一特性或特征。一个实体可能有多个属性，其中只有一些可能对测评有价值。测评模型实例化的第一步是选择与信息需求最相关的属性。一个给定属性可能被结合到支持不同信息需求的多个测评构造中。信息平安管理测评主要测评的是每一项控制措施的`属性〔信息平安管理测评指标〕。测评是以确定量值为目的的一组操作。信息平安管理测评是确定控制项的每一个详细指标的一组操作，可以有多种测评方法。根底测评是按照属性和定量方法而定义的测评方法，是用来直接测评某一属性的，是根据属性和量化他的方法来定义，他捕获单独属性的信息，其功能独立于其他测评。信息平安管理根底测评是对于控制项的指标可以直接测评出来的量。导出测评是通过测评其他属性来间接地测评某一属性的测评，是根据属性之间的关系来定义，他捕获多个属性或多个实体的一样属性的信息，其功能依赖于根底测评的，是两个或更多根底测评值得函数。测评尺度是一组连续或离散的数字量值〔如小数/百分比/自然数等〕或离散的可数量值〔如高/中/低/等〕。测评尺度是标准测评变量取值的类型和范围。测评方法将所测评属性的量级影射到一个测评尺度上的量值后赋给测评变量。测评尺度根据尺度上量值之间关系的性质分为四种类型：名义〔Nominal〕：测评值是直呼其名。序数〔Ordinal〕：测评值是有等级的。间隔〔Interval〕：测评值是等间隔的，对应于属性的等量，不可能是零值。比率〔Ratio〕：测评值是等间隔的，对应于属性的等量，无该属性为零值。测评单位是作为惯例定义和被广泛承受的一个特定量。他被用作比拟一样种类量值的基准，以表达他们相对于此量的量级。只有用一样测评单位表达的量值才能直接比拟。测评单位的例子有公尺、公斤和小时等。测评函数是将两个或更多测评变量结合成导出测评变量的算法。导出测评变量的尺度和单位依赖于作为函数输入的测评变量的尺度和单位以及他们通过函数结合的运算方式。分析^p模型是将一个或多个测评变量转化为指示器的算法。他是基于对测评变量和/或他们经过一段时间的表现之间的预期关系的理解或假设。分析^p模型产生与信息需求相关的评估或评价。测评方法和测评尺度影响分析^p模型的选择。测评方案定义了测评施行的目的、方法、步骤和资。测评频率是测评方案的执行频率。测评方案应按规定的频度定期地或在必要的时候不定期地执行。定期执行的规定频度应建立在信息效益的需求与获得他的本钱之间的折中，可以是每周、每月、每季度或每年等。不定期执行的必要时候包括ISMS初始规划和施行以及ISMS本身或运行环境发生重大变化。2.2信息平安管理测评量表体系任何测评都必须具备参照点、单位和量表三个要素。信息平安测评指标体系是信息平安测评的根底，是对指定属性的评价，这些属性与测评需求方的信息保障需求相关联，对他们进展评价为测评需求方提供有意义的信息。其总是以满足其信息保障需求和方便易理解的方式呈现给测评需求方的。标准GB/T22081-2023是进展信息平安管理所参照的标准，其从信息平安方针、信息平安组织、法律法规符合性等11个方面，提出了133个控制措施供使用者在信息平安管理过程中选择适当的控制措施来加强信息平安管理。该标准所提供的控制措施根本能覆盖信息平安管理的各个方面。在建立信息平安管理测评指标体系的理论中，通常以控制措施的施行情况作为指标，建立预选指标集，通过对预选指标集的分析^p，采用专家咨询的方式挑选出能全面反映信息平安管理有效性的详细指标。3信息平安管理测评方法讨论测评方法通常影响到用于给定属性的测评尺度类型。例如，主观测评方法通常只支持序数或名义类型的测评尺度。测评方法是使用指定的测评制式量化属性的操作逻辑序列。操作可能包括计算发生次数或观察经过时间等。同样的测评方法可能适用于多个属性。然而，每一个属性和测评方法的独特结合产生一个不同的根底测评。测评方法可能采用多种方式实现。测评规程描绘给定机构背景下测评方法的特定实现。测评方法根据量化属性的操作性质分为两种类型：主观：含有人为判断的量化。客观：基于数字规那么〔如计数〕的量化。这些规那么可能通过人或自动手段来实现。测评方法的可能例子有：调查观察、问卷、知识评估、视察、再执行、系统咨询、测试〔相关技术有设计测试和操作有效性测试等〕、统计〔相关技术有描绘统计、假设检验、测评分析^p、过程才能分析^p、回归分析^p、可靠性分析^p、取样、模拟、统计过程控制〔SPC，statisticalProcesscontrol〕图和时序分析^p等〕。4完毕语当前，信息平安领域的测评研究多侧重于对技术产品、系统性能等方面的测评，其中信息平安风险评估可通过对重要信息资产面临的风险、脆弱性的评价掌握组织的信息平安状况；信息平安审计那么只是对信息平安相关行为和活动提供相关证据；而信息平安管理评审那么是符合性审核，他们都不能对信息平安管理的有效性以及信息平安管理中采取的控制措施的有效性做出评价。因此，非常有必要对信息平安管理的有效性进展测评，这将有助于理解信息平安管理过程中所采取的控制措施的有效性以及控制措施的执行情况，为管理者决策提供根据，也能为组织信息平安管理过程的持续改良提供足够的帮助，到达更好地管理信息平安的最终目的。【参考文献】：^p：[1]闫世杰，闵乐泉，赵战生.信息平安管理测量研究[J].信息平安与通信保密，2023，5：53.[2]朱英菊，陈长松.信息平安管理有效性的测量[J].信息网络平安，2023，1：87-88.[3]NistN.800-55.securitymetricsguideforinformationtechnologysystems[J].NISTpaper，2023.[4]CISWGCS1/05-0079.InformationSecurityProgramElementswithSupporti